Alerta de phishing – Sabado 20 de abril 2013

Hemos recibido un mensaje de correo en formato HTML cuyo asunto dice: Has recibido un nuevo mensaje multimedia (MMS)

El cuerpo del mensaje dice:
 Hola!
Un amigo(a) te ha enviado un mensaje multimedia a través de nuestra portal
Claro, el mensaje multimedia (MMS) sera borrado a los 20 días.

Hola espero que te encuentres bien, El día que nos dejamos, fue el más triste de mi vida, pero, ¿sabes que?, ahora que ha pasado el tiempo estoy más decidid@ que nunca a no dejarte ir.. llamame te deje mi numero.

-MMS

En la parte inferior del mensaje aparece un botón “Ver contenido del Mensaje” que de presionarse carga el siguiente URL:

El dominio claromensajesmms.pw cuenta con el siguiente registro anónimo:

Registrant Name:Protected WhoisGuard
Registrant Organization:WhoisGuard

Apunta al número 184.154.76.194 y éste corresponde a un segmento de direcciones en Italia.
El programa PHP provoca la descarga del archivo Mensaje_Multimedia_MMS.exe

Al hacer analizar este archivo por virustotal.com, revela que es detectado por sólo 3 de 46 antivirus y es reconocido por éstos como Backdoor/Win32.Ruskil, “Suspicious file” o Trojan.Agent/Gen-VB.
Al ejecutar el archivo en el sandbox, se aprecia que escribe en el Registry de Windows, crea un objeto mutex y lanza un archivo ejecutable. El archivo iexplore.exe es modificado. No registra conexiones hacia Internet pero sí intenta hacer broadcasts en su red local.
Recomendamos aconsejar a sus usuarios borrar el mensaje sin hacer click en el botón ni visitar los enlaces.

Esperamos que esta información sea de su interés y mucho agradeceremos tanto sus comentarios como los reportes sobre otros casos de phishing.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s